ネットショッピングは今や生活基盤の1つともいえる。特にコロナ禍では外出を極力控えるようになり、これまで店頭で購入していたものまでネットショッピングで購入するようになった。
筆者はネット通販大手のAmazon.comをよく利用するため、Amazon.comからメールが頻繁に届く。注文のたびに届く注文確定メールや、毎月届く定期購入の商品を事前に知らせるメール、そして配達開始と配達完了を知らせるメールなどだ。しばらくメールが届かないと心配になるほどだ。
そうしたメールに紛れて最近不審なメールが届いた。見た目のデザインは普段Amazon.comから届くメールと同じだが、少し雰囲気が異なる。件名には「Amazon Payご請求内容のお知らせ」とある。これは、偽サイトである「フィッシングサイト」にいざなう「フィッシングメール」だ。
今回はフィッシングメールの特徴や、実際にリンクをクリックしてしまったときにどんなことが起こるのかを見ていこう。
なお、読者の皆さんにはフィッシングメールのリンクをクリックしないようにお願いしたい。不審なメールのリンクはフィッシングサイトに誘導するだけでなく、パソコンの脆弱性を突いてウイルスに感染させるなど、取り返しのつかない事態を引き起こすかもしれないからだ。今回は安全な環境を用意して実験した。
送信元ドメインは正規の「amazon.co.jp」
まず、フィッシングメールの差出人を確認する。メールソフトでは「Amazon. co. jp
では、どうしてAmazon.comをよく使う筆者のメールアドレスを知り得たのだろうか。たぶん攻撃者は、筆者がAmazon.comユーザーかどうかを知らない。
米国のセキュリティー会社Proofpoint(プルーフポイント)の調査によれば、2020年8月から2021年3月にかけて日本人を標的にしたAmazon.comのフィッシングメールは約1億8500万通あったという。これだけの量を送っていれば、Amazon.comユーザーのメールアドレスを知らなくてもフィッシングメールは届くだろう。
なお、メールアドレスはインターネットで大量に公開されていたり、売買されていたりする。過去に不正アクセスなどでWebサービスから流出したメールアドレスが流通しているのだ。
